乐鑫特权隔离机制 #1 | 介绍

2024-02-07 08:59

本文主要是介绍乐鑫特权隔离机制 #1 | 介绍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

乐鑫特权隔离机制 系列文章 #1

目录

介绍

乐鑫特权隔离机制的亮点

技术细节

1. 应用程序的启动过程

2. World 控制器和权限控制

3. CPU 的世界切换

4. 内存布局

5.系统访问接口

6. API 一致性

7. 用户空间异常处理

8. 设备驱动程序

优势

入门指南


通常,微控制器 (MCU) 上运行的应用程序均采用单体式系统 (Monolithic system),即其“用户-内核”是不隔离的。为改变这种情况,我们一直尝试为 MCU 增加权限管理特性(如通用操作系统)。

这个目标并不容易,我们需要保证对系统的改变不会影响终端应用程序的开发,比如电脑和手机上的应用程序开发与硬件系统就是相互独立的:即底层操作系统负责完成关键任务,而终端应用程序仅使用操作系统开放的接口。

我们围绕这个目标开展了大量工作:首先在 ESP32 上进行了概念验证,但后来意识到这种纯软件层面的隔离存在一定局限,离不开强大的硬件支持。我们只有在硬件级别强制执行权限管理,才能更好地实现用户应用程序和内核应用程序之间的隔离。在此基础上,我们开始在 ESP32-C3 中设计自己的专用外围设备(详见下文)。现在,经过一系列头脑风暴和大量的开发工作,我们终于可以与您分享这个激动人心的消息,即乐鑫特权隔离机制​​​​​​​的发布!

介绍

传统上,任何基于乐鑫芯片和 ESP-IDF 开发的应用程序均为单体式固件,即其“内核”组件(操作系统、网络传输等)与“应用程序”或“业务逻辑”之间并不相互独立。如今,在乐鑫特权隔离框架之下,我们成功将固件划分为两个独立的 bin 文件:受保护的“内核”和用户“应用程序”。

乐鑫特权隔离机制的亮点

  • 支持两个独立的执行环境:安全世界和非安全世界。
  • 将单体式固件划分为两个独立的固件:受保护(安全)应用程序和用户(非安全)应用程序。
  • 受保护的应用程序不受用户应用程序异常的影响。
  • 提供标准系统调用接口,允许用户应用程序通过这些接口发起内核服务访问请求。
  • 保持与 ESP-IDF API 的一致性。
  • 支持可配置的内存访问权限和外设访问权限。
  • 支持在受保护的应用程序和用户应用程序之间灵活分配内存。

技术细节

1. 应用程序的启动过程

在 ESP 权限隔离框架下,应用程序的启动流程与 ESP-IDF 一致,即Boot ROM(一级引导加载程序)首先进行验证,并从 flash 中加载 ESP-IDF 二级引导加载程序。然后,二级引导加载程序进行验证,并加载受保护的应用程序。最后,受保护的应用程序在 flash 中寻找有效的用户应用程序入口 (header)。如找到,则将设置适当的权限,并尝试验证并加载用户应用程序。

2. World 控制器和权限控制

乐鑫特权隔离机制框架的主要目标是实现特权分离和强制权限管理。在 ESP32-C3 中,这是通过 World 控制器和权限管理控制器实现的。具体来说,权限管理控制器管理所有权限,而 World 控制器管理执行环境(世界),且每个世界中均有独立的权限配置。目前,我们有两个世界:World0 和 World1。

World0 是安全(受保护)环境,World1 是非安全(用户)环境。

World 和权限管理

如上图所示:

  • 安全世界 (World0) 拥有对地址段 A 的全部访问权限
  • 非安全世界 (World1) 仅拥有对地址段 A 的读权限

在这种权限配置下,如果非安全世界试图向地址段 A 中的任何地址进行写操作,则将触发非法访问中断。安全世界将处理这个非法访问中断,并采取适当措施。

3. CPU 的世界切换

  • 从安全世界切换到非安全世界:CPU 可以从安全世界切换到非安全世界,此时仅需将需要切换的地址配置至 World 控制器的地址寄存器,接着当 CPU 执行至该地址时即可从安全世界切换到非安全世界,此后在非安全世界执行应用程序。
  • 从非安全世界切换到安全世界:CPU 可以从非安全世界切换至安全世界,但只能通过中断或异常,即系统中发生任何中断都会导致 CPU 切换到安全世界。

4. 内存布局

在强制执行权限管理后,下一步是分割内存。

内部 SRAM:

下图展示了如何划分 SRAM,供受保护的应用程序和用户应用程序使用。SRAM 分为 IRAM 和 DRAM,可以根据应用程序的使用情况进行非常灵活的配置。

 DRAM 区域包含对应应用程序的 .data 和 .bss 段,其余部分用作堆。在乐鑫特权隔离框架下,每个受保护的应用程序和用户应用程序均有一个专用的堆分配器。

这种 SRAM 内存分布可以在受保护的应用程序升级后,依然很好地使用内存。此时,一旦受保护应用程序使用的 IRAM 有所增加或减少,我们均可以重新配置 IRAM-DRAM 分割线,且并不用影响用户内存的划分情况。

外部 flash:

下图展示了如何在受保护的应用程序和用户应用程序之间分割 flash 虚拟内存。与内存分割一样,flash MMU 地址段也分为 .rodata 和 .text 区域,可进行灵活配置。

5.系统访问接口

受保护的应用程序提供了一个标准的“系统调用”接口,用户应用程序可以通过该接口请求访问内核服务。这个过程会使用一个特殊的 CPU 指令生成一个同步异常,并通过这个异常将控制权移交给受保护的应用程序。系统调用处理程序将仔细检查请求,并相应地执行操作。下图概述了系统调用接口的实现过程:

 系统调用执行过程

6. API 一致性

对于大多数组件,受保护的应用程序和用户应用程序均与 ESP-IDF API 保持一致。通过系统调用接口开放给用户应用程序的组件必须使用系统调用实现,而不是实际功能实现。我们利用链接器的特点,使用系统调用定义覆盖 API 的定义。这种与 ESP-IDF API 的一致性可以确保:

  • 轻松将 ESP-IDF 示例应用程序(仅需少量修改)移植到此框架。
  • 同一个程序可以构建为受保护的应用程序或用户应用程序。

7. 用户空间异常处理

在完成权限配置和内存分割后,可能会出现用户应用程序故意或无意尝试访问受保护禁区的情况。此时,权限控制器会触发一个非法访问中断,由受保护的应用程序处理。这种强制执行权限管理的好处是,受保护的空间内存和应用程序不会受到用户应用程序任何(错误)行为的影响。在乐鑫特权隔离框架中,我们允许受保护的应用程序注册专门的处理程序,以应对用户应用程序中出现的任何异常。这个处理程序还可以收集一些重要信息,并相应地处理异常。

8. 设备驱动程序

用户应用程序可能需要通过外围设备(SPI、I2C 等)才能与外部设备和传感器通信。在乐鑫特权隔离框架中,我们将设备驱动实现在受保护的应用程序中,并通过标准 I/O 系统调用(open, read, write 等)的方式,将其开放给用户应用程序。这样一来,我们可以通过一组公共的系统调用接口,实现多个设备驱动程序。

此外,也可以向用户应用程序开放对外设寄存器的访问权限,允许用户应用程序写自己的驱动程序。

优势

乐鑫特权隔离机制可以实现一些此前传统单体式方法通常无法实现的用例和场景,以下为一些例子:

  1. 隔离系统和业务逻辑,从而分离维护软件的责任划分。
  2. 业务逻辑(用户应用程序)中的任何错误都不会影响整个系统。用户空间中的此类异常由受保护的应用程序捕获并进行相应处理,并且允许实时收集并传输诊断信息(如果需要)。
  3. 可以独立管理受保护应用程序和用户应用程序的 OTA (空中升级)更新。只要两者的接口相互兼容,受保护的应用程序和用户应用程序可以有不同的发布节奏。
  4. 从认证角度来说,仅需认证一次受保护的应用程序并进行分发,之后的用户应用程序均可基于此已认证的受保护应用程序进行构建。
  5. 设备可同时保留多个用户应用程序,并使用同个受保护应用程序进行执行。

入门指南

目前,该项目仍处于 beta 阶段,相关研发也正在积极进行中,我们同时也在解决一些限制和瓶颈。如遇到任何问题或 bug,请与我们联系。如遇到任何问题或有任何反馈,请在 GitHub 上提出 issue。我们也欢迎开发者积极提交 PR,帮助我们不断完善这一框架。

乐鑫特权隔离框架是完全开源的,可在 乐鑫特权隔离仓库获得。更多相关技术文档和演练,请访问这里。

我们希望这种创新应用程序开发方式可以助您打开新的思路,也热切盼望您的反馈。

这篇关于乐鑫特权隔离机制 #1 | 介绍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/687205

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

图神经网络模型介绍(1)

我们将图神经网络分为基于谱域的模型和基于空域的模型,并按照发展顺序详解每个类别中的重要模型。 1.1基于谱域的图神经网络         谱域上的图卷积在图学习迈向深度学习的发展历程中起到了关键的作用。本节主要介绍三个具有代表性的谱域图神经网络:谱图卷积网络、切比雪夫网络和图卷积网络。 (1)谱图卷积网络 卷积定理:函数卷积的傅里叶变换是函数傅里叶变换的乘积,即F{f*g}

Java ArrayList扩容机制 (源码解读)

结论:初始长度为10,若所需长度小于1.5倍原长度,则按照1.5倍扩容。若不够用则按照所需长度扩容。 一. 明确类内部重要变量含义         1:数组默认长度         2:这是一个共享的空数组实例,用于明确创建长度为0时的ArrayList ,比如通过 new ArrayList<>(0),ArrayList 内部的数组 elementData 会指向这个 EMPTY_EL

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现

【编程底层思考】垃圾收集机制,GC算法,垃圾收集器类型概述

Java的垃圾收集(Garbage Collection,GC)机制是Java语言的一大特色,它负责自动管理内存的回收,释放不再使用的对象所占用的内存。以下是对Java垃圾收集机制的详细介绍: 一、垃圾收集机制概述: 对象存活判断:垃圾收集器定期检查堆内存中的对象,判断哪些对象是“垃圾”,即不再被任何引用链直接或间接引用的对象。内存回收:将判断为垃圾的对象占用的内存进行回收,以便重新使用。

【Tools】大模型中的自注意力机制

摇来摇去摇碎点点的金黄 伸手牵来一片梦的霞光 南方的小巷推开多情的门窗 年轻和我们歌唱 摇来摇去摇着温柔的阳光 轻轻托起一件梦的衣裳 古老的都市每天都改变模样                      🎵 方芳《摇太阳》 自注意力机制(Self-Attention)是一种在Transformer等大模型中经常使用的注意力机制。该机制通过对输入序列中的每个元素计算与其他元素之间的相似性,

如何通俗理解注意力机制?

1、注意力机制(Attention Mechanism)是机器学习和深度学习中一种模拟人类注意力的方法,用于提高模型在处理大量信息时的效率和效果。通俗地理解,它就像是在一堆信息中找到最重要的部分,把注意力集中在这些关键点上,从而更好地完成任务。以下是几个简单的比喻来帮助理解注意力机制: 2、寻找重点:想象一下,你在阅读一篇文章的时候,有些段落特别重要,你会特别注意这些段落,反复阅读,而对其他部分